网络设备技术建议书

第一章 项目的技术建议书2.1交换机产品维护介绍2.1.1例行维护的目的例行维护是一种预防性的维护。它是指在设备的正常运行过程中，为及时发现并消除设备所存在的缺陷或隐患、维持设备的健康水平，从而使系统能够长期安全、稳定、可靠地运行而对设备进行的定期检查与保养。2.1.2例行维护的分类日常例行维护日常例行维护是指每天进行的、维护过程相对简单、并可由一般维护人员实施的维护操作，如告警系统检查、设备运行检查等。定期例行维护定期维护是指按一定周期进行的、维护过程相对复杂、且多数情况下须由经过专门培训的维护人员实施的维护操作，如定期检查供电系统、定期检查接地系统、定期进行设备除尘等。2.1.3常见维护项目:机房维护机房温度状况长期工作环境温度： 045。短期工作环境温度： -555。若机房的环境温度长期不能满足要 求，运营商应考虑检修或更换机房的 空调系统。检查空调制冷度、开关情况等，空调制冷效果良好，开关接触良好。说明：短期工作条件是指连续不超过48小时和每年累计不超过15天。机房湿度状况在正常情况下，机房的长期工作环境 相对湿度应在5%RH85%RH之间，不结露；短期工作环境相对湿度应在0%RH95%RH之间，不结露。若机房的相对湿度过大，运营商应考 虑为机房安装除湿设备；若机房的相对湿度过小，运营商应考虑为机房安装加湿设备。2.1.4常见维护项目:基本信息维护告警:确认无告警.如果有告警，需要记录，对于严重以上告警需并立即分析并处理。日志:确认没有大量重复的日志信息。如果有这种情况出现，需要立即分析并处理。配臵文件:运行配臵需要与保存过的配臵相同。配臵必须与用户的要求保持一致。主备板的配臵文件名称、文件大小、文件保存的时间必须完全一致。CF卡:cfcard里的文件都必须是有用的，否则请执行delete /unreserved命令删除。LICENSE信息:确认License文件已经激活，且在运行截至日期“ Run time”之内。补丁信息:补丁文件必须与实际要求一致，建议能加载华为公司发布的该产品版本对应的最新的补丁文件。补丁必须已经生效，即“ Total Patch Unit”的数量和“ Running Patch Unit”的数量一致。2.1.5常见维护项目:设备运行状况风扇状态:确认风扇的“ present”为“ YES”。风扇的“ register”为“ YES”。电源状态:确认电源的“ State”为“ On”。“ Present”为“ YES”的电源的“ State”为“ Supply”。设备温度,电压:应该在上下限之间，即“ Status”为“ normal”。系统时间:通过命令查询系统日期和时间。时间应与当地实际时间一致（时间差不大于5分钟）。 如果不合格，请执行clock命令修改系统时间或者NTP。CPU及内存占用率:CPU的“ CPU Usage”,内存的占用率应低于“ UpperLimit”的值。如果长时间过高，应检查设备，查询原因。接口流量:把当前流量和接口带宽比较，如果使用率超过端口带宽的80，需要记录并确认。并检查接口下的入方向和出方向是否有错误统计，重点关注错误统计的增长情况，并且参考出现错误包的时间间隔。2.1.6常见维护项目:设备运行状况单板运行状态:确认单板“ Online”为“ Present”。单板“ Power”为“ PowerOn”。单板“ Register”为“ Registered”。单板“ Alarm”为“ Normal”。单板无非正常复位现象。主备状态:在设备软硬件正常，主机版本一致的情况下应该显示以下信息（以S9312为例）。Slot 7 HA FSM State(master): realtime or routine backup.Slot 8 HA FSM State(slave): receiving realtime or routine data.如果没有备板，则显示“ Slot D HA FSM State(master): waiting for theslave to be inserted.”。系统软件及启动文件:确认设备的启动文件正确。正常情况下，显示的系统和各单板的软件版本号与要求的相符。如果是双主控设备，要求主备用主控板版本一致。2.1.7常见维护项目:清洁防尘网防尘网主要作用是为机框、机箱内部各组件的散热进风提供灰尘过滤功能。防尘网无需供电，可根据需要随时插拔，不影响设备的运行，方便随时清洁。2.1.8常见维护项目:清洁风扇框设备的运行过程中，风扇框中的风扇叶片、控制电路板等部位会吸附其周围空气中的尘埃而形成积累，当这种尘埃积累达到一定的程度时，它不仅影响风扇框的稳定运行，其积累的尘埃还会成为业务机框的污染源，从而对设备的稳定运行产生潜在的威胁。因此为确保设备能够长期稳定运行，维护人员应定期（建议每年一次）对每个风扇框进行除尘维护。2.1.9常见维护项目:清洁单板在设备的运行过程中，由于单板带电以及在设备散热过程中的空气对流等原因，单板将不可避免地吸附空气中的带电离子或尘埃而形成积累，空气的洁净度愈差、相对湿度愈低，这种吸附过程就愈强烈。当这种尘埃积累达到一定的程度时，将严重影响到单板的散热效率与电气绝缘性能，从而对设备的稳定运行产生潜在的威胁。为确保设备能够长期稳定运行，维护人员应定期（建议每两年一次）对机柜内的所有单板进行除尘维护。2.1.10常见维护项目:备份配置文件配置文件可通过如下三种方法进行备份:l 直接屏幕拷贝 在命令行界面上，执行display currentconfiguration命令，并拷贝所有显示信息到TXT文本文件中，从而将配臵文件备份到维护终端的硬盘中。l 通过TFTP备份配臵文件l 通过FTP备份配臵文件2.1.11应急维护概述应急维护是一种突发性的维护，是指系统或设备发生紧急事故，如突然断电、设备业务中断时，为迅速排除故障、恢复系统或设备的正常运行、尽量挽回或减少事故损失而进行的故障处理措施。应急维护另外一个作用是在已知的大业务量即将到来之前，给设备维护人员提供应急指导，采取有针对性的预防措施，维持整个系统的正常运行，防止超大业务量导致的系统故障。设备类故障应急维护流程业务类故障应急维护流程设备故障信息收集方法l 设备信息: 使用display device命令进行收集。l 温度信息:使用display temperature命令进行收集。l CPU使用信息:使用display cpu-usage命令进行收集。l 路由表信息:使用display ip routing-table命令进行收集。l 日志信息:使用display logbuffer命令进行收集。l 告警信息:使用display trapbuffer命令进行收集。l 配置信息:使用display current-configuration命令进行收集。l 设备诊断信息:使用display diagnostic-information命令进行收集。l 接口信息:使用display interface命令进行收集。l 网络连通信息:使用ping命令尝试连接各相邻节点，并记录结果2.2防火墙产品维护介绍2.2.1防火墙概述网络安全包括基础设施安全、边界安全和管理安全等全方位策略防火墙的主要作用是划分边界安全，实现关键系统与外部环境的安全隔离，保护内部网络免受外部攻击与路由器相比,防火墙提供了更丰富的安全防御策略，提高了安全策略下数据报转发速率由于防火墙用于边界安全，因此往往兼备NAT、VPN等功能2.2.2防火墙的分类按照防火墙实现的方式，一般把防火墙分为如下几类： 包过滤防火墙(Packet Filtering)包过滤利用定义的特定规则过滤数据包，防火墙直接获得数据包的IP源地址、目的地址、TCP/ UDP的源端口、和TCP/UDP的目的端口。包过滤防火墙简单，但是缺乏灵活性，对一些动态协商端口没有办法设置规则。另外包过滤防火墙每包需要都进行策略检查，策略过多会导致性能急剧下降。 代理型防火墙（application gateway）代理型防火墙使得防火墙做为一个访问的中间节点，对Client来说防火墙是一个Server，对Server来说防火墙是一个Client。代理型防火墙安全性较高，但是开发代价很大。对每一种应用开发一个对应的代理服务是很难做到的，因此代理型防火墙不能支持很丰富的业务，只能针对某些应用提供代理支持。 状态检测防火墙状态检测是一种高级通信过滤。它检查应用层协议信息并且监控基于连接的应用层协议状态。对于所有连接，每一个连接状态信息都将被维护并用于动态地决定数据包是否被允许通过防火墙或丢弃。2.2.3防火墙技术发展方向1、软件防火墙。一般是直接安装在PC上的一套软件，基于PC提供基本的安全防护，此时防火墙基本上就是一个应用软件。代表产品有CheckPoint公司的防火墙产品。2、工控机类型防火墙。采用PC硬件结构，基于linux等开发源代码的操作系统内核，开发了安全防护的一些基本特性构成硬件防火墙产品形态。从外观上面看，该种防火墙是一个硬件防火墙产品，但是其软件、硬件和第一种防火墙产品从硬件上面说没有本质区别。国内大多数防火墙是采用这种技术。3、电信级硬件防火墙。采用独立设计的硬件结构，在CPU、电源、风扇、PCI总线设计、扩展插卡等方面优化结构，保证防火墙产品可以得到最优的处理性能和高可靠性。4、基于NP电信级防火墙。由于纯软件设计的防火墙产品在流量很大的地方逐步成为瓶颈，基于网络处理器（NP）的业务加速模式的防火墙产品开始出现。通过网络处理器的高性能，使得防火墙产品可以达到1G线速的处理能力。2.2.4主要防火墙性能衡量指标1、吞吐量其中吞吐量业界一般都是使用1K1.5K的大包衡量防火墙对报文的处理能力的。因网络流量大部分是200字节报文，因此需要考察防火墙小包转发下性能。因防火墙需要配置ACL规则，因此需要考察防火墙支持大量规则下转发性能。2、每秒建立连接速度指的是每秒钟可以通过防火墙建立起来的完整TCP连接。由于防火墙的连接是动态连接的，是根据当前通信双方状态而动态建立的表项。每个会话在数据交换之前，在防火墙上都必须建立连接。如果防火墙建立连接速率较慢，在客户端反映是每次通信有较大延迟。因此支持的指标越大，转发速率越高。在受到攻击时，这个指标越大，抗攻击能力越强。这个指标越大，状态备份能力越强。3、并发连接数目由于防火墙是针对连接进行处理报文的，并发连接数目是指的防火墙可以同时容纳的最大的连接数目，一个连接就是一个TCP/UDP的访问。2.2.5防火墙设备的使用原则 防火墙应该放在网络中的汇聚点，需要保证保护的网络流量必须全部经过防火墙。 默认情况下，防火墙的规则一般是禁止所有的访问。在最小授权的原则下，根据需要配置这种安全策略开放网络访问权限。 防火墙自身一定要是安全的。防火墙的安全性能取决于防火墙是否基于安全的操作系统和是否采用专用的硬件平台，防火墙设备属于一个基础网络设备，一定要保证防火墙可以长时间不间断运行，其硬件可靠性是非常关键的。 防火墙必须能够抵御多种多样的网络攻击，并且能够阻断蠕虫病毒的传播，保证内部网络的安全。 防火墙必须支持完善的地址转换(NAT)功能，以满足企业用户多种需求。 防火墙对企业网络业务的支持能力必须全面。防火墙仅仅支持简单的IP数据策略能力是不够的，随着网络中多种业务的应用，例如多媒体应用、网络语音业务、即时通信业务，防火墙必须能够完全支持这些业务的安全策略。 防火墙必须支持功能完善的VPN特性。VPN技术为企业关键数据提供加密保护服务，是防火墙必不可少的安全模块。 根据网络的实际需要选择性能、功能均能满足的防火墙。如果防火墙不能满足实际网络业务的需要，会造成网络的阻塞、中断，不仅不能给企业用户提供安全保护，反而造成更大的损失。2.2.6安全策略控制灵活的规则设定USG 200B系列统一安全网关可以支持灵活的规则设定，可以根据报文的特点方便的设定各种规则。 可以依据报文的协议号设定规则 可以依据报文的源地址、目的地址设定规则 可以使用通配符设定地址的范围，用来指定某个地址段的主机 针对UDP和TCP还可以指定源端口、目的端口 针对目的端口、源端口可以采用大于、等于、介入、不等于等方式设定端口的范围 针对ICMP协议，可以自由的指定ICMP报文的类型和Code号，可以通过规则针对任何一种ICMP报文 可以针对IP报文中的TOS域设定灵活的规则基于时间段的规则管理 USG 200B系列统一安全网关的ACL策略管理支持时间段，可以采用两种方式定义时间段：绝对时间范围、周期时间范围。例如可以定义从2004年1月1号到2004年5月1号这样的时间范围，也可以定义每周一、三、五的下午13:0015:00这样的周期时间范围。 通过时间段，USG 200B系列统一安全网关可以非常容易的定制基于时间的策略，例如工作期间不允许使用MSN、QQ等，而下班时间可以使用等。 所有基于ACL控制的策略，都可以使用时间段特性。例如地址转换服务也是依靠ACL来定义地址转换的策略，因此依靠时间段特性也可以定义更灵活的地址转换服务。QoS特性也可以使用ACL来定义各种不同的数据流，因此时间段也可以使用在QoS服务上，为不同的时间范围定义不同的流量策略。MAC地址和IP地址绑定USG 200B系列统一安全网关根据用户配置，将MAC和IP地址进行绑定从而形成关联关系。对于从该IP地址发来的报文，如果MAC地址不匹配则被丢弃；对于发往该IP地址的报文都被强制发送到指定的MAC地址处，从而有效避免IP地址假冒的攻击行为。动态策略管理黑名单技术USG 200B系列统一安全网关可以将某些可疑报文的源IP地址记录在黑名单列表中，系统通过丢弃黑名单用户的所有报文，从而有效避免某些恶意主机的攻击行为。USG 200B系列统一安全网关提供如下几种黑名单列表维护方式： 手工添加黑名单记录，实现主动防御 与攻击防范结合自动添加黑名单记录，起到智能保护 可以根据具体情况设定“白名单”，使得即使存在黑名单中的主机，依然可以使用部分的网络资源。例如，即使某台主机被加入到了黑名单，但是依然可以允许这个用户上网。黑名单技术是一种动态策略技术，属于响应体系。USG 200B系列统一安全网关在动态运行的过程中，会发现一些攻击行为，通过黑名单动态响应系统，可以抑制这些非法用户的部分流量，起到保护整个系统的作用。多种认证手段USG 200B系列统一安全网关提供了认证、授权和计费的一致性框架，对网络访问安全进行了集中管理。USG 200B系列统一安全网关提供本地认证、标准RADIUS（Remote Access Dial-In User Service）认证、华为RADIUS+认证、HWTACACS（Huawei Terminal Access Controller Access Control System）认证。提供明文、MD5（Message-Digest Algorithm 5）鉴权等手段，支持本地用户管理，可验证用户身份的合法性并为合法用户进行授权，防止非法用户进行访问。此外，USG 200B系列统一安全网关还可以和华赛Portal Server配合提供安全的在线IP检测，防止伪造IP的攻击，并且可以和华为CAMS计费系统一起提供计费能力，为IDC或商业小区等提供按流量、时间等多种计费方式。2.3加密认证网关维护介绍2.3.1产品部署环境介绍电力专用加密认证网关安置在电力控制系统的内部局域网与电力调度数据网络的路由器之间，用来保障电力调度系统纵向数据传输过程中的数据机密性、完整性和真实性。按照“分级管理”要求，纵向加密认证网关部署在各级调度中心及下属的各厂站，根据电力调度通信关系建立加密隧道（原则上只在上下级之间建立加密隧道），加密隧道拓扑结构是部分网状结构2.3.2安全策略配置加密认证网关位于电力控制系统的内部局域网与电力调度数据网络的路由器之间，为透明安全防护装置。网关的内网接口连接内部局域网，外网接口连接数据网，每个网络接口可以设置一个或者多个虚拟地址。加密认证网关的安全策略设置主要包括系统配置、 IP 地址配置、 IP 路由， VLAN，规则，隧道信息，管理信息等。系统信息配置系统配置主要配置加密认证网关的系统信息，主要包括以下几个内容： 系统名称： 装置的名称，便于远程标识装置的基本信息。 网关地址： 加密网关的外网地址或者外网卡上用于被管理或审计所设置的地址。 远程地址： 远程的装置管理系统、日志审计系统或者远程调试计算机的网络地址。 系统类型： 包括装置管理、日志审计、远程调试 证书： 在系统类型配置为装置管理时必须配置相应的装置管理的证书名称 在这个界面中可以对装置系统信息作一系列操作例如：增加、修改、删除、上传、下载等。网络信息配置加密认证网关共有 5 个以太网接口，其中任意网口都可以设置成内网口或者外网口。在实际的配置中，需要对加密认证网关的网络接口配置虚拟地址以便和内外网进行通信，内外网虚拟地址可以为相同网段，也可以为不同网段。在网络信息配置界面中可以对装置网络信息作一系列的配置如： 增加、 修改、 删除、上传、下载等。路由信息配置加密认证网关需要对加密和解密过的 IP 报文进行路由选择，路由配置信息针对加密网关的内外网虚拟地址，通过路由地址关联内外网的网络地址信息。在这个界面中可以对装置路由信息作一系列的配置例如：增加、修改、删除、上传、下载等。隧道配置隧道为加密认证网关之间协商的安全传输通道，隧道成功协商之后会生成通信密钥，进入该隧道通信的数据由通信密钥进行加密，隧道可以设置隧道周期和隧道容量，当隧道的通信时间达到指定传输周期后或者数据通信量达到指定容量后， 加密网关之间会重新进行隧道密钥的协商，保证数据通信的安全。策略配置加密通信策略用于实现具体通信策略和加密隧道的关联以及数据报文的综合过滤，加密认证网关具有双向报文过滤功能，与加密机制分离，独立工作，在实施加密之前进行。过滤策略支持：源 IP 地址（范围）控制；目的 IP 地址（范围）控制；源 IP（范围）目的 IP 地址（范围）控制；协议控制；TCP、 UDP 协议端口（范围）控制；源 IP 地址（范围）TCP、 UDP 协议端口（范围）控制；目标 IP 地址（范围）TCP、 UDP 协议端口（范围）控制。地址转换配置加密认证网关系统支持地址转换（地址伪装、源地址转换和目的地址转换），保护内网私有地址。 加密网关开启 IP 伪装功能时，当数据包经过加密网关发送到外部网络时，会将数据包的源地址改变成加密网关的外网虚拟地址， 而经过转换的数据包可以在外网中完整路由。此时内网地址为需要地址转换的内网网络地址，外网地址为伪装地址。有时候内网私有地址对外提供网络服务，为了保证内网资源的安全，这时可以将内网的网络服务映射到加密网关的外网虚拟地址上， 外网用户可通过访问加密网关的外网虚拟地址的服务达到访问内网服务的目的。在这种转换方式下，需要开启加密网关的目的地址转换